0
基於我問here的問題,但我想從這個stackoverflow社區獲得反饋。twitter oauth_verifier不是強制性的嗎?
從我的測試看來,使用oauth的twitter API oauth_verifier檢查應該由服務提供者(twitter)在http://oauth.net/core/diagram.png的步驟E中完成不是由api.twitter.com完成的;無論oauth_callback是oob還是常規回調網址,都會發生這種情況。
要在twitter上測試,很簡單:只要不發送oauth_verifier參數作爲獲取訪問令牌的步驟F的一部分。
這個問題應該很容易重現,但如果有必要,我可以發佈我的測試代碼。
oauth_verifier是會話固定威脅的解決方案的一部分,並且只在oauth 1.0a規範中引入。由於這個twitter API可能仍然不會迫使應用程序開發人員使用它來避免打破向後兼容性。
- 這是正確的嗎?或者我誤解了oauth規範?
- 這是否也會出現與其他API應符合oauth1.0a? (LinkedIn等)
PS - This question是有點關係,但問題不再適用,因爲Twitter是返回兩種類型的回調(oob和定期回調)的oauth_verifier。